Кейлоггер был обнаружен на 5500 сайтах работающих на WordPress
by the HackerNews
В апреле 2017 года аналитики впервые заметили такую кампанию. Вместе с рекламными баннерами вредоносный JavaScript проник на взломанные сайты. Недавно произошел второй инцидент, в ноябре 2017 года. Те же хакеры, но немного изменившая стратегию: вредоносные скрипты начинают маскироваться под jQuery и Google Analytics JavaScript. На самом деле, они представляют Coinhive web miner. Согласно исследованиям аналитиков, эта кампания заразила 1833 сайта.
Следователи сообщили, что хакеры снова меняют тактику. Скрипты все еще занимаются майнингом благодаря посетителям скомпрометированных сайтов. Кроме того, особенности кейлоггеров уже используются в их стратегии.
В первую очередь злоумышленников интересуют сайты, управляемые WordPress, которые являются основной целью этой команды. Преступники компрометируют ресурсы любым удобным им способом, а затем скрывают свои скрипты, например, в функциях.PHP-файл.
Эксперты подчеркнули, что вредоносные скрипты загружаются как на frontend, так и на backend сайтов, то есть они способны захватывать логины и пароли, которые пользователи вводят при входе в админ-панель. На фронтенде скрипты обычно крадут информацию, предназначенную для комментариев. В конце концов, WordPress остается основой для многих интернет-магазинов. Это означает, что номера банковских карт и другие персональные данные пользователей подвергаются большому риску.
По данным PublicWWW, эти вредоносные скрипты сейчас проникают на 5496 ресурсов (Alexa признала, что эти сайты входят в число 200 000 самых популярных).
Дата публикации: